没有几家用户敢说自己拥有无懈可击的信息安全计划。事实上，在确保业务信息的可用性、完整性以及机密性方面，各行各业的用户都面临或大或小的挑战。

　　随着安全威胁的与日俱增和日益复杂，越来越多的用户开始采取更主动的方法来实现信息安全：将安全现状与确保业务连续性所需要的安全目标进行比较分析，以此确定存在的问题和不足，并积极采取有针对性的措施，从而向创建和实现保护关键资产所需的可靠架构迈出重要一步。

　　明确业务要求

　　一项信息安全计划要想行之有效，就必须充分考虑人员、过程和技术三要素。因此用户在确定存在安全差距时同样需要考虑这些要素。

　　在确定差距时，用户首先需要确定关键业务目标，然后概括出实现这些业务目标所需要的安全条件。这些业务目标和要求将成为企业制订信息安全计划的基准。接下来，用户需要确定公司的长期战略目标、业务环境可能发生的变化、高优先级的安全问题以及其他战略战术问题。

　　细分评估过程

　　以业务需求分析作基础，接下来用户需要将企业当前的安全架构与信息安全计划的目标进行比较。这是一个费时、费力的过程。如果将人员、过程和技术评估细分到三个关键领域—战略、组件与管理，这个过程就会得到大大简化。

　　利用简单的评分方法对关键领域进行分级，可以使评估工作更加容易进行。例如，零分表示完全没有实现，1分表示部分实现，2分表示全面实现。不过，对于许多用户来说，确定评估标准才是问题的关键。

　　回答一些关键问题，可以帮助用户有效地确定评估标准和划分信息安全计划的等级。每个问题的答案都利用相同的评定标准进行打分，这样用户就可以确定需要改进的领域。

　　在评估有关人员要素的战略时，用户可以询问以下问题：是否以书面形式制定了信息安全战略，战略是否定期更新，是否涉及一致性检测或认证，公司将信息安全战略定性为被动的还是主动的。

上一篇 : 独立电商或将是电子商务的新未来             下一篇 : 板栗 “6个栗子等于1碗饭” 板栗吃多了易发